Sécurité des serveurs et application web Mixte : présentiel / à distance
Dernière mise à jour : 29/11/2024
Introduction
Objectifs de la formation
• Les enjeux de la sécurité web
• Les méthodes d'attaque sur le web et comment s'en protéger
• Les bases de la cryptographie, quand et comment l'utiliser
• Les méthodes d'authentification web
• Les bonnes pratiques de développement sécurisé
• Les techniques de protection des serveurs
Public visé
• Développeur web
• Architecte d'application web ou de solutions de sécurité web (pare-feu applicatif…)
• Administrateur systèmes
• Pentester débutant
Prérequis
Programme
Introduction
• La sécurité informatique
• Cadre normatif et législatif
• Les différents types de menace et leurs évolutions
• Comprendre l'attaquant pour mieux se protéger
L'infrastructure web
• L'analyse de risques intégrée dans un projet
• Les spcécifications des exigences de sécurité liées aux spécifications d'un logiciel et de son infrastructure
• Les choix de design
• Architecture matérielle et applicative
• Découverte de l'environnement
Travaux pratiques : collecte d'information, scan réseau, transfert de zone, protection
Les protocoles du web
• Le protocole HTTP :
- Les méthodes de base
- Les entêtes
- Cookie, token et session
- Les failles du HTTP
• Les autres protocoles sur HTTP
Travaux pratiques : Proxy, exploitation d'un analyseur de réseau, configuration d'entêtes, attaques sur sessions
Sécurisation des données et des flux
• Eléments de cryptographie
• Chiffrement des flux de données
• Signature électronique, certificats
• Chiffrement des données
Travaux pratiques : récupération de mots de passes
L'authentification
• Méthodes d'authentification http :
- Basic
- Digest
- Formulaire HTML
• Méthodes d'authentification forte :
- Token PKI
- Certificat
- Autres méthodes
• Modèles de délégation
• Principes d'infrastructure Single Sign On
Les applications Web
• Les attaques par injection :
- Côté serveur (Commandes, LDAP, SQL…)
- Côté client (XSS)
• Les attaques par inclusion :
- Inclusions de fichiers locaux
- Inclusions de fichiers distants
• Durcissement des serveurs et des OS :
- Principes généraux sous Windows
- Principes généraux sous Linux
• Développement sécurisé
Travaux pratiques : configuration d'un serveur web, attaques courantes et contremesures
Modalités pédagogiques
• Cours magistral illustré et approfondi par des travaux pratiques
• Formation dispensée en français
Moyens et supports pédagogiques
Modalités d'évaluation et de suivi
• La réussite à l'examen donne droit à la certification « SECWEB Deloitte CyberAcademy »